De Autoriteit Persoonsgegevens (AP) maakt zich grote zorgen over het toenemende aantal privacyklachten over slimme deurbellen, las ik bij RTL Nieuws. Het gaat om 200 klachten meer, over een inmiddels totaal van 1,2 miljoen deurbellen met camera in het land. En intrigerend: de meldingen zijn van burgers die dachten dat een particuliere camera zoals een slimme deurbel in de buurt meer filmde dan is toegestaan.
Het bericht haakt natuurlijk mooi in op die recente discussie over politievorderingen van beelden van deurbelcamera’s, waarbij ook al langs kwam dat je niet zomaar de openbare weg mag filmen. Het feit dat de politie impliciet die camera’s goedkeurt ‘irriteert’ de AP.
“Het is niet toegestaan dat de slimme deurbel de openbare ruimten filmt of bezittingen van anderen, legt de woordvoerder van de AP uit”, zo lees ik dan. Dat is mij wat te kort door de bocht, want er kúnnen redenen zijn dat het wel mag, maar als reactie op die vele extra klachten snap ik wel dat je er scherp in gaat.
De vraag is alleen wel wat de toezichthouder doet met die klachten:
“Bij de meeste meldingen kunnen mensen er onderling uitkomen, bijvoorbeeld door de camera anders in te stellen zodat die wel aan de eisen voldoet.” Een andere optie is dat de AP een brief stuurt om de regels nogmaals toe te lichten. In het uiterste geval kunnen mensen naar de rechter stappen.
Ik mis hier de stap dat de AP een boete of bevel geeft voor een illegaal opgehangen camera, want dat “mensen” naar de rechter moeten impliceert dat de AP niet zelf gaat handhaven. En natuurlijk, die “heeft niet de capaciteit om in alle gevallen te handhaven”, maar juist hier denk ik: twee handhavende acties met enige publiciteit zouden best een stevig signaal kunnen geven.
Antivirusbedrijf Avast krijgt in de Verenigde Staten een boete van 16,5 miljoen dollar omdat het jarenlang gebruikersdata verkocht aan adverteerders. Dat meldde Tweakers onlangs. Het gaf wat ophef: op een jaaromzet van een slordige 1 miljard dollar is dat niet echt imposant. Maar er is meer.
Since at least 2014, Avast has distributed browser extensions that it promoted through promising users enhanced privacy. It claimed, for example, that its products would “block[] annoying tracking cookies that collect data on your browsing activities” and “[p]rotect your privacy by preventing . . . web services from tracking your online activity.” It also stated that any sharing of user information would be in “anonymous and aggregate” form. (…) The
complaint details how Avast collected highly detailed browsing data from millions of users and then, through its subsidiary Jumpshot, sold those browsing records to over a hundred clients, including major advertising firms. Avast also released this data in individualized, re-identifiable form, allowing these browsing histories to be traced back to specific people—in direct contravention of what Avast had promised.
De boete is dan wel voor de FTC de hoogste ooit in de categorie privacyschending, maar ik zie wel hoe dit gedrag met meer bestraft zou moeten worden dan enkel een bedrag overmaken.
Gelukkig ís er ook meer, zo blijkt uit het eigenlijke besluit (dank aan Floor T. die het quotte op Tweakers):
Prohibition on Selling Browsing Data: Avast will be prohibited from selling or licensing any browsing data from Avast-branded products to third parties for advertising purposes;
Obtain Affirmative Express Consent: The company must obtain affirmative express consent from consumers before selling or licensing browsing data from non-Avast products to third parties for advertising purposes;
Data and Model Deletion: Avast must delete the web browsing information transferred to Jumpshot and any products or algorithms Jumpshot derived from that data;
Notify Consumers: Avast will be required to inform consumers whose browsing information was sold to third parties without their consent about the FTC’s actions against the company; and
Implement Privacy Program: Avast will be required to implement a comprehensive privacy program that addresses the misconduct highlighted by the FTC.
Ik had het al eerder gezegd, maar zo’n bevel om data te wissen én om dat bij je klanten te gaan effectueren hakt er natuurlijk veel meer in. Dat zouden meer toezichthouders moeten doen.
Reddit heeft een licentiedeal gesloten met een ‘groot AI-bedrijf’, ten behoeve van het trainen van AI-modellen. Dat meldde Tweakers vorige week. persagentschap Bloomberg. Het zou gaan om Google, waar Reddit in 2023 nog tegen dreigde de crawlers van te blokkeren. Diverse redditors vonden dit heel vervelend nieuws. Dus vandaar de vraag: mag Reddit dat doen?
Tweakers vult aan:
De licentiedeal zou betekenen dat de inhoud van de door gebruikers gegenereerde inhoud op Reddit zal worden gebruikt om de AI-modellen van een niet nader genoemd bedrijf te trainen, meldt Bloomberg op basis van ingewijden. Het zou gaan om een overeenkomst ter waarde van omgerekend ruim 55,5 miljoen euro op jaarbasis.
De honger naar kwalitatieve content om generatieve AI mee te trainen is enorm. Reddit is een van de grootste social news aggregatoren, waar mensen commentaar geven op nieuws en andere links die men met elkaar deelt (“read it”). De discussie is vaak van goede kwaliteit, en er is ook veel context om inhoud te duiden – reacties krijgen up- en downvotes en onderwerpen worden in zogeheten subreddits op onderwerp verdeeld. Dankbaar voer om AI mee te trainen.
De Reddit Terms of Use zijn afgelopen september aangepast. De site hanteert daarbij de gebruikelijke mooi klinkende constructie van “je blijft eigenaar maar wij krijgen een beperkte licentie”. Of nou ja, ‘beperkt’:
a worldwide, royalty-free, perpetual, irrevocable, non-exclusive, transferable, and sublicensable license to use, copy, modify, adapt, prepare derivative works of, distribute, store, perform, and display Your Content and any name, username, voice, or likeness provided in connection with Your Content in all media formats and channels now known or later developed anywhere in the world. This license includes the right for us to make Your Content available for syndication, broadcast, distribution, or publication by other companies, organizations, or individuals who partner with Reddit.
In gewoon Nederlands staat hier dat Reddit alles mag doen dat ze willen, inclusief als dataset verkopen aan andere bedrijven. En vanwege dat ‘irrevocable’ kun je die licentie dus ook niet meer snel intrekken. Je kunt natuurlijk je account opheffen, maar de licentie blijft gegeven.
In Europa kun je via de AVG eisen dat je persoonsgegevens niet langer verwerkt worden. Weghalen van je account of je naam bij publicaties is dus zeker mogelijk. Verdedigbaar is dat je posts ook persoonsgegevens kunnen zijn, afhankelijk van de inhoud. Over weghalen daarvan zegt de privacy policy:
Please note, however, that the posts, comments, and messages you submitted prior to deleting your account will still be visible to others unless you first delete the specific content. After you submit a request to delete your account, it may take up to 90 days for our purge script to complete deletion. We may also retain certain information about you for legitimate business purposes and/or if we believe doing so is in accordance with, or as required by, any applicable law.
Ik lees dat “we may retain certain information for legitimate purposes” dus als een recht om tóch je berichten te blijven gebruiken, zij het zonder je naam erbij. In de context van verhandelen voor het trainen van AI is dat een logische verwachting. Het lijkt me ook AVG-compliant, omdat een bericht zonder naam zeker niet perse een persoonsgegeven is.
De Canadese luchtvaartmaatschappij Air Canada moet een passagier zijn geld terugbetalen nadat een chatbot hem verkeerd had geïnformeerd. Dat meldde RTL Nieuws vorige week. Het opmerkelijke verweer op de klacht was dat de chatbot een ‘aparte juridische entiteit’ zou zijn, ‘verantwoordelijk voor zijn eigen acties’. Wacht, wat?
De kern was een klacht over het willen gebruiken van het ‘rouwtarief’, een bereavement flight. Dit concept komt erop neer dat je voor een vlucht naar een uitvaart een goedkoper lastminute ticket kunt krijgen. Het bestaat nauwelijks meer, maar Air Canada had dat in 2022 nog wel:
In November 2022, following the death of their grandmother, Jake Moffatt booked a flight with Air Canada. While researching flights, Mr. Moffat used a chatbot on Air Canada’s website. The chatbot suggested Mr. Moffatt could apply for bereavement fares retroactively. Mr. Moffatt later learned from Air Canada employees that Air Canada did not permit retroactive applications.
Het probleem was dus dat de chatbot zei dat je dat rouwtarief met terugwerkende kracht kon claimen op een al geboekt ticket. In die uitspraak zat een link naar de “Bereavement policy” van Air Canada, waar dan weer in staat dat je alleen recht hebt op dat tarief als je er vooraf om vraagt.
Zowel in Nederland als in Canada is het zo dat als een medewerker van een bedrijf een duidelijke toezegging doet, je daar als klant in principe op mag vertrouwen. Uitzonderingen kunnen altijd, met name als jij moet weten dat die medewerker zoiets niet mag toezeggen.
Air Canada gooide het over een iets andere boeg:
Air Canada argues it cannot be held liable for information provided by one of its agents, servants, or representatives – including a chatbot. It does not explain why it believes that is the case. In effect, Air Canada suggests the chatbot is a separate legal entity that is responsible for its own actions. This is a remarkable submission. While a chatbot has an interactive component, it is still just a part of Air Canada’s website. It should be obvious to Air Canada that it is responsible for all the information on its website. It makes no difference whether the information comes from a static page or a chatbot.
De uitspraak gaat hier wat snel van “cannot be held liable” naar “is a separate legal entity”, maar de kern is duidelijk: Air Canada vond dat zij niet gehouden kon worden aan de toezegging van de chatbot. Je had de ‘echte’ bron maar moeten controleren.
Het tribunaal gaat daar niet in mee. Hoe zou een consument moeten weten dat de ene informatiebron betrouwbaarder is dan de andere? Air Canada zet ze beiden op haar site, dus moet ze de gevolgen daarvan dragen. Je kunt niet verwachten dat mensen alles dubbelchecken. Ook een beroep op de algemene voorwaarden bij het ticket wordt afgewezen, hoewel met het argument dat Air Canada die voorwaarden niet had overlegd in de procedure.
Ik lees de uitspraak dus niet als een discussie over het “aparte juridische entiteit” zijn van de chatbot. Waar het om gaat, is waar de consument staat als bron A zegt dat iets wel mag en bron B dat dat niet mag. Dan geldt dus wat de bron zegt waar de consument op afgegaan is, omdat je bij een duidelijke toezegging deze niet hoeft te dubbelchecken. Het roept de filosofische vraag op of de klager recht zou hebben op een gedeeltelijke teruggaaf als hij achteraf de chatbot had geraadpleegd, na eerst een duur ticket te hebben gekocht omdat de Bereavement Policy dat zei.
De rechter benoemt nadrukkelijk dat hij geen verschil ziet tussen een statische webpagina en een chatbot. Ik zie dat zelf anders: de indruk die je wekt met een chatbot is ergens toch serieuzer, specifieker. Een webpagina zegt hoe het in het algemeen is. Een chatbot helpt jou met jouw probleem, je hebt jouw specifieke feiten genoemd en je vraagt een advies over jouw situatie. Dan komt daar iets uit dat voor jou opgaat, en dat zou best anders kunnen zijn dan de algemene regel.
Ik ben een beetje bezorgd dat uitspraken als deze ertoe gaan leiden dat chatbots ieder gesprek openen met een disclaimer dat je alles moet dubbelchecken dat ze zeggen, en dat ze geen bindende toezeggingen kunnen doen.
Mijn werkgever wil het BYOD beleid voor onze organisatie zodanig aanpassen, dat er alleen nog met laptops gewerkt kan worden, die volledig op Microsoft producten draaien. (Windows 11, Office365, enz). Ik heb gewetensbezwaren tegen het gebruik van software van Big Tech bedrijven en werk al 25 jaar zonder problemen met open source. Hoe sterk sta ik als ik bezwaar wil maken tegen deze beleidswijziging?
Ik moet nu even cru zijn: nee. De werkgever kiest de gereedschappen en bepaalt hoe het werk gebeurt. Gewetensbezwaren brengen vrijwel altijd met zich mee dat je ontslag moet nemen. Van je werkgever eisen dat die het werk anders inricht vanwege jouw gewetensbezwaren kan enkel heel soms bij een kernaspect van een religieuze overtuiging en alleen als er een reëel alternatief is.
Hier gaat het om bring-your-own-device beleid, waarbij werknemers de eigen laptop met eigen software mogen inzetten voor werkzaken. Dat kan, en in zo’n vrije setting is het dan helemaal prima dat jij dat met een laptop met FreeBSD en LibreOffice doet in plaats van Windows 11 en Office 365.
Maar ook als dit al enige jaren het beleid is, blijft de werkgever gerechtigd van gedachten te veranderen en over te willen stappen naar een meer gecontroleerde omgeving. Goed werkgeverschap vereist dat hij hier wel enige vooraankondiging en overgangstijd voor laat, dus niet op vrijdag 13:00 aankondigen dat iedereen maandag op Windows 11 moet zitten of dat om 9:00 de IT-afdeling langskomt met een installatie-CD.
Daar staat tegenover dat een werknemer niet verplicht kan worden de eigen laptop mee naar het werk te nemen. BYOD in deze vorm is een keuze, en die keuze impliceert niet dat je dat device voor altijd moet blijven gebruiken. Je kunt dus als werknemer met gewetensbezwaren de BYOD regeling opzeggen en een laptop van de werkgever verlangen. Wel zal daar dan natuurlijk Windows 11 en Office 365 op staan.
Arnoud
Dit is een update van een vraag in de comments van een blog uit 2017. Ik ben sinds de discussie daar van gedachten veranderd.
“Er komt meer cameratoezicht in alle winkels en er komen meer en slimmere steekproeven bij zelfscankassa’s”, las ik bij PrivacyNieuws. Men citeert supermarktketen Jumbo, dat AI-technologie wil gaan inzetten voor gerichte steekproeven bij de zelfscankassa. Hoe zinnig is dat?
Vrijwel alle supermarkten hebben zelfscankassa’s. Dat scheelt immers een hoop geld aan salarissen voor cassières (m/v/x), maar je krijgt er wel meer winkeldiefstal voor terug. Daar moet technologie dan een oplossing voor bieden, en het breed gedragen gevoel is dan dat een steekproef gebaseerd op willekeur niet goed genoeg werkt. Daarom de greep naar AI.
Het lijkt erop dat men niet gaat controleren op kenmerken van de persoon, maar op gedrag:
Retaildeskundige Eelco Hos legde begin dit jaar in het Brabants Dagblad uit hoe dit soort AI-controlesystemen eruit kunnen zien. Camera’s zouden kunnen checken wat de klant koopt en scant. Als een product dan niet wordt gescand, vraagt het zelfscanapparaat de klant om dat alsnog te doen. Een andere mogelijkheid is dat een medewerker door de computer wordt gewaarschuwd als iemand niet alles afrekent. Een camera bij de kassa maakt dan een foto van de winkelmand aan de kassa.
Deze aanpak heeft in ieder geval niet het nadeel dat men gaat proberen een AI te leren hoe “een gemiddelde winkeldief” eruit ziet – een fundamenteel onjuiste aanpak. Het leidt natuurlijk wel tot een enorme berg aan extra camera’s, en het trainen van een model dat scant wat iemand uit het rek pakt is ook niet triviaal (denk aan terugleggen of 2 stuks pakken, of een donkere verpakking in de hand van een persoon van kleur).
De geciteerde zorg van Bits of Freedom is inderdaad niet onterecht: “Je hoeft maar een verkeerde beweging te maken en je kunt onterecht als verdacht worden aangemerkt.” Als de camera niet helemaal goed ziet welk product je pakt, dan zal de kassa een discrepantie zien tussen jouw mandje en de werkelijkheid in het systeem, en dat pakt altijd in het nadeel van de klant uit. De Jumbo heeft hier nog geen nadere uitleg over gegeven.
Arnoud
PS: Lezen hoe het wel moet? Mijn boek AI and Algorithms gaat in detail in op de juridische en ethische randvoorwaarden van inzet van AI.
De adressen van burgers die camerabeelden delen met de politie zijn in sommige gevallen te herleiden uit online gepubliceerde vonnissen, blijkt uit onderzoek van BNR. Wie vonnissen goed leest met Maps erbij, kan zo vaststellen waar de camera’s hangen waar beelden van zijn gebruikt door justitie in ernstige strafzaken. De Raad voor de Rechtspraak laat in een reactie weten dat ze het probleem herkent.
Het onderzoek is een vervolg op waar ik in januari over blogde: De politie vordert vaak beelden van deurbelcamera’s waardoor adressen van nietsvermoedende burgers in strafdossiers terecht kunnen komen. Dat vorderen moet juridisch gezien, want anders mag de politie de beelden niet meenemen (vrijwillig ongevraagd ze krijgen van een burger daargelaten).
Letterlijke adressen (“op de camerabeelden van de camera aangebracht op het pand te Jollemanhof 12 Amsterdam”) worden netjes geanonimiseerd. Maar dat is niet genoeg: vaak wordt de context geschetst om de beelden te duiden, en wie dan een beetje handig is met Maps, kan dan alsnog de originele plek terugvinden:
De positie van de camera, het merk van de deurbel, de namen van aangrenzende straten: allen komen uitgebreid aan bod. [Getuige] Clara’s naam en adres zijn digitaal ‘weggelakt’, maar er staan zoveel details in de uitspraak, dat aan de hand van een kaart te achterhalen is waar de deurbelcamera ongeveer gehangen moet hebben. Foto’s op Google Streetview laten zien dat alleen bij Clara een deurbel van het genoemde merk hing ten tijde van de moord.
Waar ik dan mee blijf zitten: hoe ernstig is dit nu werkelijk, qua inbreuk op de persoonlijke levenssfeer? Het gaat hier niet om beschrijvingen van interieurs of persoonlijke aangelegenheden, maar een beschrijving van de locatie en wat er op die camera te zien was op de openbare weg. Die beelden hebben dan verder niets met de camera-eigenaar te maken, die was toevallig de getuige en dat was het.
Canada is van plan om de import, verkoop en het gebruik van de Flipper Zero en soortgelijke multitools te verbieden. Dat meldde Tweakers onlangs. In het land neemt autodiefstal enorme vormen aan, procentueel het tienvoudige van Nederland. Dan moet je iets doen, Flippers verbieden is iets dus laten we dat doen. Maar hoe haalbaar is dat?
De Flipper Zero is een “portable multi-tool for pentesters and geeks in a toy-like body,” aldus de fabrikant. Het ding heeft ongeveer alles dat je nodig hebt voor (old school) hacking, van een simpel schermpje en handige knoppen tot USB, Bluetooth en pogo pin aansluitingen. Het platform is open source en kan dus volledig worden aangepast, inclusief custom firmware.
Die custom firmware kwam een tijdje geleden in het nieuws: de custom firmware “Flipper Xtreme” maakte het wel heel makkelijk om een soort van denial of service aanval te doen op iPhones door een berg Bluetooth connectieverzoeken te sturen. Inclusief knopje dat “iOS attack” heet. Niet handig, juridisch gezien.
Door het gemak, de aansprekende vormgeving en het concreetmakende aspect springt er hacktechnisch nu even uit. Je kunt er bijvoorbeeld ook een laadpas voor elektrische auto’s mee simuleren en dan gratis laden (al duurt dat extreem lang en moet je dit 200 euro kostende ding met ducttape aan een laadpaal vastzetten). En ja, dat kan met meer dingen maar dit is een specifiek ding met een herkenbare merknaam dus dat is een mooi verhaal.
On Thursday, the Innovation, Science and Economic Development Canada agency said it will “pursue all avenues to ban devices used to steal vehicles by copying the wireless signals for remote keyless entry, such as the Flipper Zero, which would allow for the removal of those devices from the Canadian marketplace through collaboration with law enforcement agencies.” A social media post by François-Philippe Champagne, the minister of that agency, said that as part of the push “we are banning the importation, sale and use of consumer hacking devices, like flippers, used to commit these crimes.”
Wederom: er zijn tientallen manieren om die draadloze signalen op te vangen en te kopiëren, maar dat zijn geen leuk vormgegeven doosjes met een eenvoudige UI en een aansprekende merknaam. Sorry Raspberry Pi, maar de Zero heeft de coolfactor.
In Canada is autodiefstal een enorm probleem, en kennelijk is een populaire truc daarbij het klonen van het signaal dat de draadloze autosleutel (fob) uitzendt om de deur open te doen. De Flipper Zero kan zeker signalen opvangen en opnieuw uitzenden, maar bij autosleutels heeft dat niet zo heel veel zin:
[The most prevalent] attack requires a high-power transceiver that’s not capable with the Flipper Zero. These attacks are carried out using pricy off-the-shelf equipment and modifying it using a fair amount of expertise in radio frequency communications. (…) The Flipper Zero is also incapable of defeating keyless systems that rely on rolling codes, a protection that’s been in place since the 1990s that essentially transmits a different electronic key signal each time a key is pressed to lock or unlock a door.
Mogelijk dat bij de Canadese overheid wat verwarring is ontstaan over een hype-tje uit 2022, toen bleek dat je het signaal om de laadpoort van een Tesla te openen eenvoudig kon klonen, waardoor je met een Flipper Zero mensen kon trollen. Als je dat deurtje kunt openen, dan kun je vast ook de motor starten, zeg maar.
Hoe dan ook, de regering wil nu dus deze apparaten gaan verbieden. Maar hoe zou dat gaan, en dan heb ik het niet over de handhaafbaarheid maar over “hoe schrijf je dat eenduidig op”.
In Nederland geldt een verbod op het maken, hebben of verspreiden van hacktools. Daarbij geldt wel een specifieke eis: zo’n tool moet “hoofdzakelijk geschikt gemaakt of ontworpen [zijn] tot het plegen van een [computer]misdrijf”, zoals computervredebreuk of het aftappen van signalen (art. 139d Sr). Het is dus niet genoeg dat je er zo’n misdrijf mee kunt plegen, het ding moet er voor bestemd zijn.
In discussies over booter-sites benadruk ik altijd dat het dan al snel neerkomt op intentie van de maker. Heb je zo’n zwarte achtergrond met groene letters, l33tspeek en alleen betalen via bitcoin, dan komt dat heel anders over dan een gezellig witte achtergrond met rommelige knutselspullen en een schattig dolfijntje. Mij spreekt dan ook aan dat men de compliance-documentatie online zet in plaats van een disclaimer over illegale zaken.
Canada heeft dat niet direct, maar maakt het strafbaar (art. 342 Penal Code) om “causes to be used, directly or indirectly, a computer system with intent to commit an offence” zoals computervredebreuk of aftappen van signalen. Wie een kastje verkoopt en daarbij aanmoedigt dat je er een auto mee steelt, loopt dus tegen de strafwet aan. Een verkoper die neutraal spreekt van een pentest tool waarmee je je eigen auto kunt openen, is niet strafbaar.
Je kunt natuurlijk in zo’n strafbepaling woorden als “with intent” vervangen door “with ability”. Dan is iedere Flipper Zero inderdaad direct strafbaar, want ze hebben dan bepaalde hack-capability (andermans laadpoort openen is juridisch gezien ongeautoriseerd). Alleen krijg je dan zo’n breed verbod dat je dan tegen de meer algemene eis aanloopt dat strafbepalingen afgekaderd moeten zijn. Termen als “zou kunnen” of “mogelijk” zijn dus niet echt de bedoeling.
Mijn gevoel bij het nieuwsbericht is dat het vooral ging om reageren op de hype, laten zien dat je iets van plan bent. Voordat hier een wetsvoorstel voor is gedaan, zijn we rustig een jaar verder en heeft een ander product weer de hype.
Dat bericht van laatst over vernietigen van camerabeelden maakte veel los. Wis je gewoon beelden omdat je geen zin hebt in discussie, ben je strafbaar. Eén aspect licht ik er even uit: het bezwaar dat je eigenlijk de openbare weg niet mag filmen. Wat doet dat er toe?
Op LinkedIn kreeg ik bijvoorbeeld deze reactie:
Formeel gezien mag je al helemaal geen beelden van de openbare ruimte maken, laat staan opslaan. Dus als de politie eventueel beelden van je Ring deurbel wil hebben, omdat ze mogelijk vermoeden dat er een misdrijf op staat, volstaat het om aan te geven dat je de openbare ruimte die zichtbaar is binnen het beeldgebied van je camera, middels een filter wegfiltert (blurred of afdekt) voordat e.e.a. opgenomen wordt, e.e.a. conform de voorschriften van de AP.
Het is natuurlijk prima als je met een filter zorgt dat je niet nodeloos de openbare weg filmt. En als de politie dan beelden bij je vordert, dan is dat vrij simpel: u mag de blokjes hebben maar meer heb ik niet. De enige echte eis is natuurlijk dat je ook echt een filter hébt – niet bluffen als oom agent aan de deur staat met een vordering, en ook niet snel naar boven rennen en een blurretje doen.
Dat je de openbare weg “helemaal niet” mag filmen, is wat mij betreft wel echt te kort door de bocht. Als die openbare weg onvermijdelijk is bij je bewakingstaak, of het anderszins noodzakelijk is dat je ook die opneemt, dan mag dat prima. Je krijgt wel met de AVG te maken, maar dat is niet hetzelfde als “dat mag niet”.
Veel mensen die de openbare weg filmen met een aangebrachte camera zullen de AVG schenden, al is het maar omdat ze geen duidelijke waarschuwing hebben (of een privacyverklaring). En die duidelijke waarschuwing geeft nóg een probleem: het is strafbaar om met een aangebrachte camera de openbare weg te filmen als dat niet duidelijk is aangekondigd (art. 441b Strafrecht).
Het is niet strafbaar om de AVG te overtreden (dat is bestuursrecht, iets heel anders). Het WvSr overtreden is natuurlijk wel strafbaar, maar dan geldt nog steeds dat wetsovertreding door een burger geen reden is om bewijs uit te sluiten. Alleen wetsovertreding door de politie kan die discussie starten. En dan nog: in Nederland zegt de rechter dan ‘foei’ en gebruikt ie het bewijs toch met de toverformule “de verdediging is niet in haar belangen geschaad”.
Nederlanders die overwegen om met de nieuwe Apple Vision Pro deel te nemen aan het verkeer, maken zich schuldig aan roekeloos rijgedrag en dat is strafbaar, zegt Mark Harbers, minister van Infrastructuur en Waterstaat. Dat meldde het AD onlangs. De minister dreigt met artikel 5, en dat voelt een tikje spannend.
Koos z’n kapstok, noemde ik dat artikel vroeger, maar Wegmisbruikers is zo leuk niet meer sinds die officier-af is (en de AVG uitgebreider werd nageleefd, maar dat terzijde). Het idee is dat je met artikel 5 alles kunt aanpakken dat concreet of dreigend gevaar oplevert, een kapstokartikel waar alle mogelijke gedragingen aan opgehangen kunnen worden.
Een mogelijk gevaarlijke gedraging is “een televisie voor je ogen binden en hopen dat deze niet crasht of zonder stroom komt tijdens het besturen van een motorvoertuig”. Want dat is de kern van zo’n Vision Pro: het is geen bril met een AR-overlay met een en ander, maar een beeldscherm waar (door een interne camera opgenomen) beeld van de buitenwereld om je heen wordt getoond met een overlay met een en ander. Valt het ding uit, dan zie je dus niets meer.
Ik citeer even het AD:
In de gebruiksvoorwaarden van de Vision Pro geeft Apple aan dat de bril nooit gebruikt mag worden bij het besturen van een voertuig. Wanneer de bril in Nederland beschikbaar komt krijgen klanten een soortgelijke tekst voor hun ogen. Dat is nodig, want het aantal Nederlanders dat aangeeft de mobiele telefoon te gebruiken in het verkeer neemt al langere tijd toe, meldde verzekeraar Interpolis die dit al langere tijd in de gaten houdt. In een onderzoek van twee jaar terug gaf 71,5 procent van de Nederlanders aan het mobieltje wel eens te gebruiken tijdens het rijden of fietsen.
Dat laatste was natuurlijk aanleiding om het in de hand houden van een telefoon apart strafbaar te stellen, artikel 61a RVV. De jurisprudentie daarbij is nogal breed: ook het klemmen onder je hoofddoek of het met klittenband aan je arm vastzetten van je telefoon is “vasthouden”. Gewoon op je schoot laten liggen is dat dan weer niet.
Het verschil? Bij de hoofddoek vond het Hof relevant dat je tussen het bellen door de telefoon moet pakken, bijvoorbeeld om op te hangen. Kennelijk is dat bij telefoons op schoot niet zo belangrijk, of is in die zaak dat argument niet aan de orde geweest. Het rekt de betekenis van “in de hand houden” wel een beetje op naar “zo meteen in de hand gaan houden”.
Een Vision Pro hou je niet in de hand, hij zit om je hoofd met een band. Dat was met die hoofddoek ook, en daarbij vond het Hof doorslaggevend dat je er geen handsfree interface bij hebt:
Op grond van de in de Nota van Toelichting genoemde gronden, is het hof van oordeel dat ook de onderhavige wijze van telefoneren door de betrokkene onder het begrip ‘vasthouden’ als bedoeld in artikel 61aRVV 1990 dient te worden begrepen. Immers, anders dan wanneer gebruik wordt gemaakt van hulpmiddelen die uitdrukkelijk bestemd zijn om handsfree te bellen, zal de betrokkene bij het daadwerkelijk gebruik van de telefoon deze handmatig moeten bedienen, terwijl deze zich aan het oor bevindt.
Daar komt bij dat in 2019 door de minister is ingegaan op de vraag of smartwatches om de pols niet ook ‘vastgehouden’ worden, omdat je die ook handmatig moet bedienen. Nee:
Zoals hierboven al is opgemerkt valt het dragen van smartwatches en andere apparatuur, zoals internetbrillen, die zijn ontworpen om aan het lichaam te dragen, niet onder de definitie van het begrip «vasthouden». Een smartwatch dragen is dus niet verboden. Dit is verduidelijkt in de toelichting.
Dit is alweer even geleden, maar ik vermoed dat men bij ‘internetbril’ dacht aan Google Glass (dus een bril met glas en daarop een projectie) en niet aan bijvoorbeeld de Oculus Rift, die net als de Vision Pro een scherm voor je ogen hangt. Ik kan bij terugzoeken op die term echt alleen referenties naar Google’s bril vinden.
De Vision Pro heeft dus géén handbediening nodig in de traditionele zin, zoals bij de telefoon onder de hoofddoek. Hij is ontworpen om aan het lichaam te dragen. Maar voor mij is dan toch doorslaggevend dat hij je zicht blokkeert en dus geen ‘bril’ is, zodat die uitzondering niet op zou gaan. Ik acht de kans dus reëel dat een rechter de Vision Pro toch een “telefoon” noemt en “om je hoofd doen” rekent onder “vasthouden”.
Dat bericht van laatst over 